Hallo

Mal eine Frage:
Ich habe einen Server auf dem Fremdsoftware installiert worden ist.

Meine Frage - Wie haette ich das verhindern koennen?
Ist ein Software, Config,.. Problem

Server ist Debian GNU/Linux 6.0 mit aktuellen Patche.

Installiert wurde die Software ueber Apache - als User www-run
In den Logs sehe ich z.b::

[29/Nov/2013:19:32:40 +0100] "POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77...

Auf dem Server laeuft unter Vhost Wordpress, aber der "Hacker" kam ueber die Default Seite.
Wie kann ich sowas verhindern?

Um herauszufinden, ob du es verhindern könntest, musst du erstmal wissen, was es war. Bei einer Zero-Day-Lücke wirst du wenig Glück haben das zu ändern. Bei fehlerhaften PHP Skripten kannst du selbst was dagegen tun. Gleiches gilt für eine schlechte Konfiguration.

Um herauszufinden, ob du es verhindern [/könntest, musst du erstmal wissen, was es war.


Das will ich machen, aber wo setzte ich an?



Bei einer Zero-Day-Lücke wirst du wenig Glück haben das zu ändern.

d.h: eine Lücke im Apache - oder?



Bei fehlerhaften PHP Skripten kannst du selbst was dagegen tun. Gleiches gilt für eine schlechte Konfiguration.

PHP Sripte sind keine drauf...
( PHP ist aber installiert )

Hast du mir einen Tipp,Seite,... wo ich das nachlesen kann.
bzw. wie ich das herrausfinden kann.

Wie gesagt, kenne ich eingentlich in Sachen Linux relativ gut aus,
aber was der Punk "Sicherheit" angeht habe ich ein paar Lücken.

( Wie der Server :) )

Google sagt: http://www.exploit-db.com/exploits/29290/

Google sagt: http://www.exploit-db.com/exploits/29290/


Danke @Marce

Dann schalte ich mal die PHP.INI einstellung scharf.

setting cgi.force_redirect und setting cgi.redirect_status_env

Danke @Marce

Dann schalte ich mal die PHP.INI einstellung scharf.

setting cgi.force_redirect und setting cgi.redirect_status_env

schaue dir auch noch folgendes an: http://www.dfn-cert.de/ (http://www.dfn-cert.de/informationen/themen/incident-response-informationen/nachsehen-linux.html)

ob das mit den php.ini einstellungen reicht, kann ich dir nicht sagen.
aber evt. weist es jemand anderes...

Auch interessant, decode mal den Post-Teil, eine Suche nach dem Klartext liefert oft hilfreiche Infos zu der Art der Attacke und damit auch Ansätze um sich bzw. den Server zu schützen.

Ansonsten:

Wenn du kein PHP brauchst, werfe es weg
Wenn du kein CGI brauchst deaktiviere es
Generell aktiviere diese Sachen (cgi, PHP) nur dort wo die sie brauchst - bei dir also nur im vhost für Wordpress
Apache ist weit verbreitet und daher ein beliebtes Opfer (genau wie PHP), ggf. einen anderen HTTP-Server (lighthttp, nginx...) verwenden
OWASP TOP10 (https://www.owasp.org/index.php/Top_10_2013) ist eine gute Anlaufstelle, um einen Überblick über aktuelle Lücken bedingt durch schwache Programmierung zu erhalten (wobei das natürlich in erster Linie für eigene Dinge gilt, nicht also für Wordpress)
Beachten solltest du auch die Anleitung zum Absichern von Debian (http://www.debian.org/doc/manuals/securing-debian-howto/index.de.html), zwar etwas alt, aber die Verteidigungslinien sind auch heute noch sinnvoll